Базовая конфигурация коммутаторов:
N5K1(config)# sh run fabricpath
!
install feature-set fabricpath
feature-set fabricpath
!
vlan 500
mode fabricpath
!
interface Ethernet1/17
switchport mode fabricpath
interface Ethernet1/18
switchport mode fabricpath
Отношения соседства установлены, маршрутная информация находится в актуальном состоянии:
N5K1(config-if)# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID SNPA Level State Hold Time Interface
N5K2 N/A 1 UP 00:00:24 Ethernet1/17
N5K2 N/A 1 UP 00:00:26 Ethernet1/18
N5K1(config-if)# show fabricpath isis route
Fabricpath IS-IS domain: default MT-0
Topology 0, Tree 0, Swid routing table
362, L1
via Ethernet1/17, metric 40
via Ethernet1/18, metric 40
Теперь введем аутентификацию. FabricPath имеет два уровня аутентификации. Первый уровень, доменный, применяется на коммутатор целиком (или же на VDC). Он предотвращает изучение FabricPath маршрутов от недоверенных источников. Здесь важно отметить, что ISIS отношения соседства при этом устанавливаются. Т.е. аутентифицируются только LSP/NSP сообщения ISIS-протокола, PDU проходят прозрачно. Убедимся в этом. Для примера настроим доменную аутентификацию только на одном коммутаторе (N5K1).
key chain FABRICPATH
key 1
key-string 7 070931014d000a0618
fabricpath domain default
authentication-type md5
authentication key-chain FABRICPATH
Отношения соседства с N5K2 установлены:
N5K1# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID SNPA Level State Hold Time Interface
0005.73b2.f5fc N/A 1 UP 00:00:26 Ethernet1/17
0005.73b2.f5fc N/A 1 UP 00:00:24 Ethernet1/18
но маршрутов нет:
N5K1# show fabricpath route
FabricPath Unicast Route Table
'a/b/c' denotes ftag/switch-id/subswitch-id
'[x/y]' denotes [admin distance/metric]
ftag 0 is local ftag
subswitch-id 0 is default subswitch-id
FabricPath Unicast Route Table for Topology-Default
0/542/0, number of next-hops: 0
via ---- , [60/0], 0 day/s 00:00:58, local
Красным цветом выделен важный момент. На N5K1 в качестве соседа указан mac-адрес, а не имя N5K2. Это говорит о том, что hello-сообщение было получено, но оно не прошло верификацию.
После добавления конструкции
fabricpath domain default
authentication-type md5
authentication key-chain FABRICPATH
на N5K2, всё приходит в норму:
N5K1# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID SNPA Level State Hold Time Interface
N5K2 N/A 1 UP 00:00:29 Ethernet1/17
N5K2 N/A 1 UP 00:00:25 Ethernet1/18
Если же Вы хотите сделать так, чтобы при неправильном пароле adjacency вообще не устанавливались, необходимо настроить аутентификацию PDU сообщений. Делается это отдельно на каждом физическом интерфейсе.
interface Ethernet1/17-18
fabricpath isis authentication-type md5
fabricpath isis authentication key-chain FABRICPATH-INTF
Если ввести только на одной стороне, то отношения соседства разрываются
N5K1(config-if-range)# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID SNPA Level State Hold Time Interface
N5K2 N/A 1 LOST 00:04:30 Ethernet1/17
N5K2 N/A 1 LOST 00:05:19 Ethernet1/18
Рассмотрим пару дополнительных «фишек». Как Вы знаете, для каждого FabricPath дерева выбирается свой корень (root). Администратор всегда может узнать какой коммутатор является корневым в топологии
N5K1# show fabricpath isis topology summary
Fabricpath IS-IS domain: default FabricPath IS-IS Topology Summary
MT-0
Configured interfaces: Ethernet1/17 Ethernet1/18
Number of trees: 2
Tree id: 1, ftag: 1, root system: 0005.73b4.7d3c, 542
Tree id: 2, ftag: 2, root system: 0005.73b2.f5fc, 666
И при желании изменить его. Для этого необходимо поменять приоритет коммутатора для всего домена
fabricpath domain default
root-priority 1
или для конкретной топологии
fabricpath domain default
topology 1
root-priority 1
При желании можно затюнить ISIS-таймеры, поменять метрику (которая используется для вычисления кратчайшего пути)
N5K2(config-if)# fabricpath isis ?
csnp-interval Set CSNP interval in seconds
hello-interval Set Hello interval in seconds
hello-multiplier Set multiplier for Hello holding time
hello-padding Pad IS-IS hello PDUs to full MTU
lsp-interval Set LSP transmission interval
metric Configure the metric for interface
retransmit-interval Set per-LSP retransmission interval
retransmit-throttle-interval Set interface LSP retransmission interval
Остановлюсь чуть подробнее на том, что это за таймеры/фичи и за что отвечают:
— hello-interval отвечает за то, как часто необходимо отправлять hello-сообщения
— hello-padding информирует коммутатор о том, что все отправляемые hello-сообщения необходимо дополнять по размеру для MTU. Преимуществом включения технологии является раннее детектирование проблем с MTU на транспорте (помните что будет с OSPF, если MTU на интерфейсах соседей отличаются?)
— lsp-interval задает задержку (в мс) между отправками двух LSP-сообщений. Полезно увеличить значение в случае если у коммутатора много ISIS соседей.
— csnp-interval вводится только на Designated Router. Отвечает за то, как часто он будет сверять синхронизацию базы данных с соседями.
Посмотреть настроенные таймеры, аутентификацию можно командой
N5K1# show fabricpath isis interface e1/17
Fabricpath IS-IS domain: default
Interface: Ethernet1/17
Status: protocol-up/link-up/admin-up
Index: 0x0001, Local Circuit ID: 0x01, Circuit Type: L1
Authentication type MD5
Authentication keychain is FABRICPATH-INTF
Authentication check specified
Extended Local Circuit ID: 0x1A010000, P2P Circuit ID: 0000.0000.0000.00
Retx interval: 5, Retx throttle interval: 66 ms
LSP interval: 33 ms, MTU: 1500
P2P Adjs: 1, AdjsUp: 1, Priority 64
Hello Interval: 10, Multi: 3, Next IIH: 00:00:02
Level Adjs AdjsUp Metric CSNP Next CSNP Last LSP ID
1 1 1 40 60 00:00:31 ffff.ffff.ffff.ff-ff
Topologies enabled:
Topology Metric MetricConfig Forwarding
0 40 no UP
Также Вы можете настроить метод балансировки для равноправных путей
N5K1(config)# fabricpath load-balance unicast ?
<CR>
destination Include destination parameters
include-vlan Use vlan
layer2 Layer-2 parameters considered
layer3 Only Layer-3 parameters considered
layer4 Only Layer-4 parameters considered
mixed Mix of Layer-2, Layer-3 and Layer-4 paramaters (default)
source Include source parameters
source-destination Include source and destination parameters
и посмотреть результат
N5K1(config)# show fabricpath load-balance
ECMP load-balancing configuration:
L3/L4 Preference: Mixed (L2, L3 and L4)
Hash Control: Symmetric
Use VLAN: TRUE
Метки: ccie, dc, fabricpath
Опубликовано: CCIE DC , Data Center
» Оставить комментарий
Вы должны войти чтобы прокомментировать.